Introduction
Ce document explique pourquoi l'expiration des certificats du proxy Cisco Umbrella intervient dans les jours suivant la date actuelle.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur Cisco Umbrella Secure Internet Gateway (SIG).
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Aperçu
Lorsqu'un proxy Web Cisco Umbrella est configuré pour le déchiffrement de la communication HTTPS, la date et l'heure d'expiration des certificats reçus du proxy peuvent généralement se situer dans les dix jours suivant la date et l'heure actuelles. Il s'agit d'une fonctionnalité de sécurité qui ne nécessite aucune action de la part de l'utilisateur final. Le renouvellement est automatique.
Durée de vie des certificats avec décodage proxy
Lorsque des clients Web envoient des communications HTTPS (requêtes HTTP chiffrées avec TLS) via le proxy SWG (Umbrella Secure Web Gateway) ou le proxy intelligent (IP), et que le proxy est configuré pour déchiffrer les communications HTTPS, le proxy réécrit le certificat leaf appartenant au serveur et remplace tous les certificats intermédiaires également envoyés par le serveur par des certificats intermédiaires Cisco. Ce remplacement de chaîne de certificats est la technique standard par laquelle les proxys Web effectuent le déchiffrement des demandes et des réponses qui sont chiffrées dans TLS.
Les nouveaux certificats leaf et intermédiaires sont créés dynamiquement. Lors de l'affichage des dates Not Before et Not After dans les certificats, généralement les certificats peuvent être émis avec des durées de vie courtes ne dépassant pas dix jours, comme mesure de sécurité améliorée. Le renouvellement est automatique et ne nécessite aucune action de l'utilisateur final.
Par exemple, dans ces images récupérées le 8 avril 2023, le certificat leaf de example.com a une date de validité Not After du 11 avril 2023 (il reste 3 jours de validité).
14723937288724
De même, le premier certificat intermédiaire de la chaîne, le certificat Cisco Umbrella Secondary SubCA, a une date de validité non postérieure (expiration) du 17 avril 2023.
14724083385492
Les dates Not Before et Not After des certificats dans la chaîne ne sont généralement pas identiques, car les temps de création varient en fonction de la récupération de chaque certificat parmi tous les utilisateurs de l'instance de proxy.
La délivrance d'un certificat de courte durée ne s'applique pas :
Dans l'une ou l'autre configuration, les certificats précités peuvent avoir des périodes de validité plus longues.